Telnel的hontel蜜罐分析

简介

互联网上经常有机器人等爆破telnet，ssh弱口令等。如果爆破成功，则植入病毒等，为后续的DDos，远控等作准备。本文分析360netlab的hontel蜜罐，并用其部署，捕获真实的样本。

蜜罐的原理其实很简单。模拟一个真实的linux系统，提供基于telnet的shell操作。执行并记录每一条命令到日志。蜜罐在中病毒木马后，不会影响真实的系统，就像安装还原卡一样，一键恢复到初始话状态。

360netlab开源了一个小巧实用的蜜罐，很适合初学者理解蜜罐的原理。蜜罐基于linux的chroot去限制蜜罐不会影响到真实机器。chroot是在unix系统的一个操作，针对正在运作的软件进程和它的子进程，改变它外显的根目录。一个运行在这个环境下，经由chroot设置根目录的程序，它不能够对这个指定根目录之外的文件进行访问动作，不能读取，也不能更改它的内容。chroot这一特殊表达可能指chroot(2)系统调用或chroot(8)前端程序。由chroot创造出的那个根目录，叫做“chroot监狱”（chroot jail，或chroot prison）。

我们的主要目标是为了模拟存在弱口令的Iot智能设备。此类设备一般运行嵌入式linux（openwrt等），shell为busybox环境。所以我们还需要在chroot中安装busybox文件。还需要建立类似于Iot设备的文件目录。推荐直接解压一个Iot的固件包即可。

代码分析

该蜜罐主要使用python的Tcpserver框架和telnetsrv框架。只需要继承telnetsrv框架并重载handler方法。这样大大降低了开发难度。

if TELNET_ISSUE:
    self.writeline(TELNET_ISSUE)
            

首先向telnet的客户端写入提示信息。

        authenticated = False
        for attempt in xrange(MAX_AUTH_ATTEMPTS):
            authenticated = self.authentication_ok()
            if authenticated:
                break
        if not authenticated:
            return

然后调用认证。这里只需要重写类变量authNeedUser，authNeedPass即可实现认证方法。如果还有特殊需求，可以重载authCallback(self, username, password)，在里面记录爆破的username和password等。

    def authCallback(self, username, password):
        if username is not None and password is not None:
            self._log("AUTH", "%s:%s" % (username, password))

这样，我们就实现记录爆破用户名密码的功能。

回到handler中，handler这时开始调用self.session_start()，session_start函数很简单，使用subprocess通过busybox开启一个shell。并且使用PIPE的方式去交换数据，也就是执行命令。然后设置为NoneBlock。

    def session_start(self):
        self._log("SESSION_START")
        self.process = subprocess.Popen(SHELL, shell=True, stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.STDOUT, preexec_fn=os.setsid)

        flags = fcntl.fcntl(self.process.stdout, fcntl.F_GETFL)
        fcntl.fcntl(self.process.stdout, fcntl.F_SETFL, flags | os.O_NONBLOCK)

设置好shell环境后，这时候就可以接收命令了。通过如下代码获取用户用过telnet输入的命令

line = self.input_reader(self, self.readline(prompt=self.PROMPT).strip())
            raw = line.raw
            cmd = line.cmd
            params = line.params

在蜜罐中，我们主要是记录用户输入的命令内容，如果用户通过wget等下载一个文件，我们顺便把文件也记录下来。可以直接调用self._log("CMD", raw)即可。针对于wget命令来讲，我们可以通过正则表达式匹配到wget后面网址参数，然后下载下来。代码如下

match = re.search(r"(?i)(wget|curl).+(http[^ >;\"']+)", raw)
                if match:
                    url = match.group(2)
                    original = posixpath.split(urlparse.urlsplit(url).path)[-1]
                    filename = self._retrieve_url(url)

通过正则表达式匹配到下载文件参数后，调用_retrieve_url去下载这个文件，然后保存下来作为样本等待研究人员的后续分析。

所有的流程都结束后，我们需要运行用户输入的这个命令以便于更好的模拟真实的linux。所以我们可以通过如下代码运行

if RUN_ATTACKERS_COMMANDS:
    self.process.stdin.write(raw.strip() + "\n")
else:
    self.process.stdin.write("\n")

首先判断蜜罐的配置，是否去允许执行命令，如果允许，则执行raw的内容，如果不允许，相当于执行空命令。

执行完命令后，需要讲结果输出给用户，self.write(self._processRead())。这里我们需要重载write函数去实现自己的逻辑。为了保险起见，运行结果中可能会有关于该蜜罐的信息。例如X86，Debian，Ubuntu等。我们需要讲这些信息替换成Iot设备的信息，例如Mipsel，Openwrt等。所以我们在write中实现如下代码

        for key, value in REPLACEMENTS.items():
            text = text.replace(key, value)
        TelnetHandler.write(self, text)

Replacements主要是一些需要替换的信息

    REPLACEMENTS["Ubuntu"] = "Debian"
    FAKE_ARCHITECTURE = "arm7"
    for arch in ("i386", "i686", "x86_64 x86_64 x86_64", "x86_64 x86_64", "x86_64", "amd64"):
        REPLACEMENTS[arch] = FAKE_ARCHITECTURE

至此，一个简易的蜜罐就写完了。